胡滟
计算机客户终端是网络安全的重要关口之一。为此,人民银行总行依据即将正式实施的《网络安全法》,推广全国一体化终端安全管理系统,实现“统一安全管控策略,快速分析定位事件,集中展示安全全貌”的终端管理模式。昆明中支作为全国第一批推广单位,于3月20日至4月21日,率先全面完成辖内所有终端部署工作,整体提升全辖终端信息安全管理水平,确保安全生产。
一、主要措施
(一)统筹与动员先行
总行动员和培训会议之后,科技处第一时间向中支党委进行了汇报,中支党委高度重视此项工作,并根据实施需要和组织架构分工,分别成立了项目领导小组、实施技术小组以及实施服务小组,明确相关工作责任、任务目标、保障安排。分管行领导迅速开展全省动员,要求各单位各部门把握好推广工作的主要内容、主要难点、主要步骤等三个重点;努力做到组织协调、宣传培训、测试验证、问题记录、应急处置等五个到位。动员会议延伸至全辖纵向三级126个分支机构、机关横向28个处室全覆盖,共300余人参会。
(二)调研与测试力行
从终端硬件上说,云南省接近六千台业务网计算机终端设备,数量多、分布广、品牌杂,与推广的一体化终端安全管理系统可能存在有兼容风险;从系统软件上看,全辖运行着150多个应用系统,与推广的一体化终端安全管理系统可能存在有冲突风险。昆明中支在全量推广前,采取“全面调研、分类测试、试点先行”的措施,严谨测试、严格排查,立足于早、立足于防,充分预判推广中可能存在的风险,并在测试过程中形成一系列推广操作文档。
(三)部署与稳健并行
安排全省系统推广分为三批实施,按照批次集中技术人员在昆明中支,做好本单位全辖一体化终端安全管理系统上线技术准备、环境搭建和试点推广工作,同步,做好下一批次的技术传承与知识共享。整项工作按照“推送为主、手工为辅”、“办公先行、业务靠后”和“控制风险、稳步推进”的部署原则,保障一体化项目的有序推进和重要业务系統的平稳运行。
(四)推广与制度同行
实施前,针对不同机构、单位和部位,根据省内网络、终端、系统等实际情况,制定和下发《技术方案》、《实施方案》、《州市中支推广操作手册》和《县支行推广操作手册》四套资料,测试与部署同开展;实施中,规范系统运维管理,拟定和印发《管理办法》和《运维手册》,推广与管理同步走;实施后,确保系统稳定运行,组织全辖126个分支机构召开系统操作培训会,运维与排查同落实。
(五)内力和外力携行
结合总行的上级力量、帮扶及试点行的兄弟力量、全省相关人员的内部力量、驻场工程师的公司力量,省、市、县三级机构上下联动,各方密切,整合发力,在保障业务连续性的前提下,通过网络监查、终端检查和系统核查等多项措施,有序、高效推进一体化终端安全管理系统的全面部署。
二、取得成效
(一)积累经验文档化成果
经过短短五周的时间,昆明中支完成辖内原有安全软件的卸载和客户端推装部署,装机数量达5721台,下发和开启了6项安全管理策略和NAC管控,实施覆盖率达100%,并以技术方式解决技术问题,自动推送安装成功率达85%以上,同时,期间有幸参与完成了总行一体化计算机更名和360分组同步的升级测试工作。在系统部署实施过程中,昆明中支对于遇到的所有共有、特有问题,都一一登记核实、深入探索、解决问题、汇总整理,并将相关经验成果文档化,形成了《问题集》等技术资料,积极为全国其它推广单位积累实施经验。
(二)实现终端统一化管控
通过一体化终端安全管理系统推广部署,既实现了计算机准入硬控制,全行在线终端资产情况和安全状况一目了然、实时掌握,同时从管理上消除了原有五套终端安全类系统的多头运维、信息竖井无法关联、国产化替代不全面、各地终端安全水平参差不齐、终端安全隐患大等问题,显著提升全辖的终端安全管理水平。
(三)强化终端标准化管理
一体化终端安全管理系统可从软件安装、服务开启、安全配置、策略下发和用户使用等多方面入手,不断提高客户端管理标准化程度,用技术手段杜绝了终端安装无关软件、擅自修改系统配置的不良行为,达成实现全省终端全天候全方位感知和有效防护的目标。
(四)锻炼新格局下科技队伍
面对一体化终端安全管理系统推广工作任务重、时间要求严,云南省科技人员加班加点、迎难而上、攻坚克难、稳扎稳打,三周内基本完成全辖客户端安装,体现出了极强的执行力、协调力。在系统推广中,锻炼出一支素质高、技术精、业务强的队伍,同时,通过学习研究和使用运行新系统,提升终端安全管理水平,提高网络安全水平,努力开创央行科技工作新格局。